華為防火墻配置培訓(xùn)

1、SecPath防火墻技術(shù)介紹,2,學(xué)習(xí)目標(biāo),防火墻的域和模式攻擊防范、包過濾、ASPF、NAT、黑名單的使用方法,學(xué)習(xí)完本課程，您應(yīng)該能夠了解：,3,防火墻的模式,路由模式為防火墻的以太網(wǎng)接口（以GigabitEthernet0/0 為例）配置IP 地址。[SecPath] interface GigabitEthernet0/0[SecPath-GigabitEthernet0/0] ip address 192.168.0.

2、1 255.255.255.0透明模式 當(dāng)防火墻工作在透明模式下時，其所有接口都將工作在第二層，即不能為接口配置IP 地址。這樣，用戶若要對防火墻進(jìn)行Web 管理，需在透明模式下為防火墻配置一個系統(tǒng)IP 地址（System IP）。用戶可以通過此地址對防火墻進(jìn)行Web 管理。缺省情況下，防火墻工作在路由模式。(1) 配置防火墻工作在透明模式。[SecPath] firewall mode ?

3、route Route mode transparent Transparent mode[SecPath] firewall mode transparentSet system ip address successfully.The GigabitEthernet0/0 has been in promiscuous operat

4、ion mode !The GigabitEthernet0/1 has been in promiscuous operation mode !All the Interfaces's ips have been deleted.The mode is set successfully.從以上顯示的系統(tǒng)提示信息可以看出，防火墻已經(jīng)工作在透明模式下，且所有接口上的IP 地址已經(jīng)被刪除。(2) 為防火墻配置系統(tǒng)IP 地址

5、。[SecPath] firewall system-ip 192.168.0.1 255.255.255.0Set system ip address successfully.說明：當(dāng)防火墻切換到透明模式時， 系統(tǒng)為防火墻分配了一個缺省系統(tǒng)IP地址169.0.0.1/8，可以使用上述命令更改系統(tǒng)IP 地址。,4,防火墻的模式,可以把路由模式理解為象路由器那樣工作。防火墻每個接口連接一個網(wǎng)絡(luò)，防火墻的接口就是所連接子網(wǎng)的網(wǎng)關(guān)。報

6、文在防火墻內(nèi)首先通過入接口信息找到進(jìn)入域信息，然后通過查找轉(zhuǎn)發(fā)表，根據(jù)出接口找到出口域，再根據(jù)這兩個域確定域間關(guān)系，然后使用配置在這個域間關(guān)系上的安全策略進(jìn)行各種操作。透明模式的防火墻則可以被看作一臺以太網(wǎng)交換機。防火墻的接口不能配IP地址，整個設(shè)備出于現(xiàn)有的子網(wǎng)內(nèi)部，對于網(wǎng)絡(luò)中的其他設(shè)備，防火墻是透明的。報文轉(zhuǎn)發(fā)的出接口，是通過查找橋接的轉(zhuǎn)發(fā)表得到的。在確定域間之后，安全模塊的內(nèi)部仍然使用報文的IP地址進(jìn)行各種安全策略的匹配。相比

7、較而言，路由模式的功能更強大一些；而在用戶的網(wǎng)絡(luò)無法變更的情況下，可以考慮采用透明模式。,5,防火墻的屬性配置命令,打開或者關(guān)閉防火墻firewall { enable | disable }設(shè)置防火墻的缺省過濾模式firewall default { permit|deny }顯示防火墻的狀態(tài)信息display firewall,6,在接口上應(yīng)用訪問控制列表,將訪問控制列表應(yīng)用到接口上指明在接口上是OUT還是IN方向,,

8、Ethernet0,,Serial0,訪問控制列表3作用在Serial0接口上在in方向上有效,7,基于時間段的包過濾,“特殊時間段內(nèi)應(yīng)用特殊的規(guī)則”,,Internet,,上班時間（上午8：00 － 下午5：00）只能訪問特定的站點；其余時間可以訪問其他站點,8,時間段的配置命令,time range 命令timerange { enable|disable }[undo] settr 命令settr begin-t

9、ime end-time [ begin-time end-time ...... ]undo settr顯示 isintr 命令display isintr顯示 timerange 命令display timerange,9,訪問控制列表的組合,一條訪問列表可以由多條規(guī)則組成,對于這些規(guī)則，有兩種匹配順序：auto和config。規(guī)則沖突時，若匹配順序為auto（深度優(yōu)先），描述的地址范圍越小的規(guī)則，將會優(yōu)先考慮。深度的

10、判斷要依靠通配比較位和IP地址結(jié)合比較access-list 4 deny 202.38.0.0 0.0.255.255 access-list 4 permit 202.38.160.1 0.0.0.255 兩條規(guī)則結(jié)合則表示禁止一個大網(wǎng)段 （202.38.0.0）上的主機但允許其中的一小部分主 機（202.38.160.0）的訪問。規(guī)則沖突時，若匹配順序為config，先配置的規(guī)則會被優(yōu)先考慮。,10,防火墻,在測試環(huán)

11、境中，劃分了最常用的三個安全區(qū)域：Untrust區(qū)域——用于連接外部網(wǎng)絡(luò)；DMZ區(qū)域——放置對外服務(wù)器；Trust區(qū)域——用于連接內(nèi)部安全網(wǎng)絡(luò)。,,,Lan switch,Trust區(qū)域,PC 1,192.168.2.2/24,server A,Internet,11,防火墻基本配置,SecPath:Interface GigabitEthernet 0/0ip address 192.168.3.1 255.255.255.

12、0Interface GigabitEthernet 0/1ip address 192.168.1.1 255.255.255.0Interface Ethernet 1/0ip address 192.168.2.1 255.255.255.0PC1:配置IP 地址為192.168.1.3/24PC2:配置IP 地址為192.168.1.2/24,12,防火墻的功能演示,13,防火墻的功能演示,14,防火墻的功能

13、演示,15,防火墻的功能演示,16,ASPF,ASPF（Application Specific Packet Filter）是針對應(yīng)用層的包過濾，即基于狀態(tài)的報文過濾。它和普通的靜態(tài)防火墻協(xié)同工作，以便于實施內(nèi)部網(wǎng)絡(luò)的安全策略。ASPF能夠檢測試圖通過防火墻的應(yīng)用層協(xié)議會話信息，阻止不符合規(guī)則的數(shù)據(jù)報文穿過。為保護(hù)網(wǎng)絡(luò)安全，基于ACL規(guī)則的包過濾可以在網(wǎng)絡(luò)層和傳輸層檢測數(shù)據(jù)包，防止非法入侵。ASPF能夠檢測應(yīng)用層協(xié)議的信息，并對應(yīng)用

14、的流量進(jìn)行監(jiān)控。,17,ASPF,ASPF能夠監(jiān)測FTP、HTTP、SMTP、RSTP、H.323、TCP、UDP的流量DoS（Denial of Service，拒絕服務(wù)）的檢測和防范。Java Blocking（Java阻斷）保護(hù)網(wǎng)絡(luò)不受有害Java Applets的破壞。Activex Blocking（Activex阻斷）保護(hù)網(wǎng)絡(luò)不受有害Activex的破壞。支持端口到應(yīng)用的映射，為基于應(yīng)用層協(xié)議的服務(wù)指定非通用端口。

15、增強的會話日志功能?？梢詫λ械倪B接進(jìn)行記錄，包括連接時間、源地址、目的地址、使用端口和傳輸字節(jié)數(shù)等信息。,18,攻擊類型簡介,單報文攻擊FraggleIp spoofLandSmurfTcp flagWinnukeip-fragment,19,攻擊類型簡介,分片報文攻擊Tear DropPing of death拒絕服務(wù)類攻擊SYN FloodUDP Flood & ICMP Flood掃描IP

16、sweepPort scan,20,單包攻擊原理及防范-1,21,單包攻擊原理及防范-2,IP Spoof特征：地址偽冒目的：偽造IP地址發(fā)送報文配置：firewall defend ip-spoofing enable原理：對源地址進(jìn)行路由表查找，如果發(fā)現(xiàn)報文進(jìn)入接口不是本機所認(rèn)為的這個IP地址的出接口，丟棄報文,22,單包攻擊原理及防范-3,Land特征：源目的地址都是受害者的IP地址，或者源地址為127這個網(wǎng)段的地址

17、目的：導(dǎo)致被攻擊設(shè)備向自己發(fā)送響應(yīng)報文，通常用在syn flood攻擊中配置：firewall defend land enable防范原理：對符合上述特征的報文丟棄,23,單包攻擊原理及防范-4,Smurf特征：偽冒受害者IP地址向廣播地址發(fā)送ping echo目的：使受害者被網(wǎng)絡(luò)上主機回復(fù)的響應(yīng)淹沒配置：firewall defend smurf enable原理：丟棄目的地址為廣播地址的報文,24,單包攻擊原理及防范-

18、5,TCP flag特征：報文的所有可設(shè)置的標(biāo)志都被標(biāo)記，明顯有沖突。比如同時設(shè)置SYN、FIN、RST等位目的：使被攻擊主機因處理錯誤死機配置：firewall defend tcp-flag enable原理：丟棄符合特征的報文,25,單包攻擊原理及防范-6,Winnuke特征：設(shè)置了分片標(biāo)志的IGMP報文，或針對139端口的設(shè)置了URG標(biāo)志的報文目的：使被攻擊設(shè)備因處理不當(dāng)而死機配置：firewall defend

19、winnuke enable原理：丟棄符合上述特征報文,26,單包攻擊原理及防范-7,Ip-frag特征：同時設(shè)置了DF和MF標(biāo)志，或偏移量加報文長度超過65535目的：使被攻擊設(shè)備因處理不當(dāng)而死機配置：firewall defend ip-fragment enable原理：丟棄符合上述特征報文,27,分片報文攻擊原理及防范-1,Tear drop特征：分片報文后片和前片發(fā)生重疊目的：使被攻擊設(shè)備因處理不當(dāng)而死機或使報文

20、通過重組繞過防火墻訪問內(nèi)部端口配置：firewall defend teardrop enable原理：防火墻為分片報文建立數(shù)據(jù)結(jié)構(gòu)，記錄通過防火墻的分片報文的偏移量，一點發(fā)生重疊，丟棄報文,28,分片報文攻擊原理及防范-2,Ping of death特征：ping報文全長超過65535目的：使被攻擊設(shè)備因處理不當(dāng)而死機配置：firewall defend ping-of-death enable原理：檢查報文長度如果最后分

21、片的偏移量和本身長度相加超過65535，丟棄該分片,29,拒絕服務(wù)攻擊原理及防范-1,SYN Flood特征：向受害主機發(fā)送大量TCP連接請求報文目的：使被攻擊設(shè)備消耗掉所有處理能力，無法響應(yīng)正常用戶的請求配置：statistic enable ip inzonefirewall defend syn-flood [ ip X.X.X.X | zone zonename] [max-number num] [max-rate

22、num] [ tcp-proxy auto|on|off]firewall defend syn-flood enable原理：防火墻基于目的地址統(tǒng)計對每個IP地址收到的連接請求進(jìn)行代理，代替受保護(hù)的主機回復(fù)請求，如果收到請求者的ACK報文，認(rèn)為這是有效連接，在二者之間進(jìn)行中轉(zhuǎn)，否則刪掉該會話,30,拒絕服務(wù)攻擊原理及防范-2小,UDP/ICMP Flood特征：向受害主機發(fā)送大量UDP/ICMP報文目的：使被攻擊設(shè)備消耗掉所

23、有處理能力配置：statistic enable ip inzonefirewall defend udp/icmp-flood [ ip X.X.X.X | zone zonename] [max-rate num] firewall defend udp/icmp-flood enable原理：防火墻基于目的地址統(tǒng)計對每個IP地址收到的報文速率，超過設(shè)定的閾值上限，進(jìn)行car,31,掃描攻擊原理和防范-1,IP sweep

24、特征：地址掃描，向一個網(wǎng)段內(nèi)的IP地址發(fā)送報文 nmap目的：用以判斷是否存在活動的主機以及主機類型等信息，為后續(xù)攻擊作準(zhǔn)備配置：Statistic enable ip outzoneFirewall defend ip-sweep [ max-rate num ] [blacklist-timeout num]原理：防火墻根據(jù)報文源地址進(jìn)行統(tǒng)計，檢查某個IP地址向外連接速率，如果這個速率超過了閾值上限，則可以將這個IP地址

25、添加到黑名單中進(jìn)行隔離注意：如果要啟用黑名單隔離功能，需要先啟動黑名單,32,掃描攻擊原理和防范-2,Port scan特征：相同一個IP地址的不同端口發(fā)起連接目的：確定被掃描主機開放的服務(wù)，為后續(xù)攻擊做準(zhǔn)備配置：Statistic enable ip outzoneFirewall defend port-scan [max-rate num] [blacklist-timeout num]原理：防火墻根據(jù)報文源地址進(jìn)行

26、統(tǒng)計，檢查某個IP地址向同一個IP地址發(fā)起連接的速率，如果這個速率超過了閾值上限，則可以將這個IP地址添加到黑名單中進(jìn)行隔離注意：如果要啟用黑名單隔離功能，需要先啟動黑名單,33,防火墻防范的其他報文,Icmp redirectIcmp unreachableLarge icmpRoute recordTime stamptracert,華為3Com技術(shù)有限公司,華為3Com公司網(wǎng)址: www.huawei-3com.com